文档介绍:第八章入侵检测技术*?什么是入侵行为?什么是入侵检测?什么是入侵检测系统:入侵检测系统工作原理入侵检测系统的两个性能指标“防火墙”,是指一种将内部网和公众访问网()分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,,上的人也无法和公司内部的人进行通信。为什么要用入侵检测系统?为什么要用入侵检测系统?因此为确保网络的安全,就要对网络内部进行实时的检测,这就要用到IDS无时不在的防护!防火墙的局限性(1)防火墙防外不防内。(2)防火墙一般不提供对内部的保护。(3)防火墙不能防范不通过它的连接。(4)防火墙不能防备全部的威胁。入侵行为主要是指对系统资源的非授权使用,不仅包括发起攻击的人取得超出范围的系统控制权,也包括收集漏洞信息,造成拒绝访问等对计算机造成危害的行为。什么是入侵(Intrusion)行为?什么是入侵检测?入侵检测是指通过从计算机网络系统中的若干关键点收集信息,并分析这些信息,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统全称为DetectionSystem,缩写为IDS,可以是软件,也可以是一种进行入侵检测的软件与硬件的组合。与防火墙不同的是,IDS是一个旁路监听设备,无须网络流量流经它便可以工作。IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。通常对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注的流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。